Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 7 Min.

Ransomware: Fünf Spielarten sorgen für den größten Ärger


Computerwoche - epaper ⋅ Ausgabe 11/2020 vom 06.03.2020

Cryptolocker erleben ihren zweiten Frühling. Dabei zeigt sich, dass die Ransomware-Varianten ausgefuchster werden, und die Urheber der Erpressungssoftware skrupelloser.


Artikelbild für den Artikel "Ransomware: Fünf Spielarten sorgen für den größten Ärger" aus der Ausgabe 11/2020 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: Computerwoche, Ausgabe 11/2020

Bei Ransomware-Angriffen erobern Angreifer die Endgeräte und Server ihrer Opfer, verschlüsseln gezielt Daten und verlangen Lösegeld in Form von Kryptowährungen für deren Freigabe. Mit derlei Verschlüsselungstrojanern haben Cyberkriminelle schon die IT-Landschaften großer Unternehmen lahmgelegt: Zu den Opfern zählen hierzulande etwa Krauss Maffei, die Deutsche Bahn, das Klinikum Fürstenfeldbruck, das Lukaskrankenhaus in Neuss und viele ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2020 von Chrome Extensions - warum Microsoft und Google zanken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Chrome Extensions - warum Microsoft und Google zanken
Titelbild der Ausgabe 11/2020 von Salesforce Co-CEO Keith Block steigt überraschend aus. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Salesforce Co-CEO Keith Block steigt überraschend aus
Titelbild der Ausgabe 11/2020 von D21-Digital-Index - Deutsche haben Lust auf Digitalisierung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
D21-Digital-Index - Deutsche haben Lust auf Digitalisierung
Titelbild der Ausgabe 11/2020 von Bewerben Sie sich jetzt um den Digital Leader Award!. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bewerben Sie sich jetzt um den Digital Leader Award!
Titelbild der Ausgabe 11/2020 von Anwender verlangen Verlässlichkeit - SAP muss mehr für Integration tun. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Anwender verlangen Verlässlichkeit - SAP muss mehr für Integration tun
Titelbild der Ausgabe 11/2020 von Nutanix will Infrastrukturen für Anwender unsichtbar machen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Nutanix will Infrastrukturen für Anwender unsichtbar machen
Vorheriger Artikel
Bewerben Sie sich jetzt um den Digital Leader Award!
aus dieser Ausgabe
Nächster Artikel Anwender verlangen Verlässlichkeit - SAP muss mehr für …
aus dieser Ausgabe

... andere.

Die Cryptolocker-Geschichte

Angriffe dieser Art gibt es schon seit vielen Jahren. 1991 verbreitete ein Biologe PC Cyborg, einen in QuickBasic programmierten Trojaner, der noch auf Diskette per Post verschickt wurde. Betroffen waren AIDS-Forscher, die ihre Daten nach Aktivierung des Datenträgers verschlüsselt vorfanden und aufgefordert wurden, für 189 Dollar die „Jahreslizenz“ für die Benutzung ihres Rechners zu erneuern - zahlbar per Verrechnungscheck an ein Postfach in Panama.

2006 kam dann Archiveus auf, die erste Ransomware, die Windows-Systeme befiel, erstmals eine RSA-Verschlüsselung verwendete und über E-Mail und File-Sharing-Seiten verbreitet wurde. Dieser Trojaner ist längst Geschichte. Gleich eine ganze Reihe von Ransomware-Paketen attackierte dann Anfang 2010 die Netze, bekannt unter dem Namen Police: Die Angreifer gaben sich als Strafverfolgungsbehörden aus und forderten Geldbußen für angeblich illegale Aktivitäten der Opfer. Hier kam erstmals eine neue Generation anonymer Zahlungsdienste zum Einsatz, die es ermöglichte, unerkannt das Lösegeld abzukassieren.

Wenig später etablierte sich ein neuer Trend: Die Cyberkriminellen begannen, sich in Kryptowährungen auszahlen zu lassen - eine kaum aufzuspürende, anonyme Zahlungsmethode. Die meisten Banden rechnen seitdem in Bitcoins ab. Die Angriffe erreichten Mitte der 2010er-Jahre einen neuen Höhepunkt, ehe sich die Gangster dann 2018 vorübergehend auf ein anderes Vorgehen konzentrierten, Bitcoins zu erbeuten: das Cryptojacking. Dabei werden Rechner über Malware oder einen Browser-basierten Injection-Angriff infiziert und - unbemerkt vom Nutzer - für das Mining von Kryptowährungen zweckentfremdet. Laut IBM gingen die Ransomware-Angriffe 2018 um 45 Prozent zurück, während die Angriffe durch Cryptojacking um 450 Prozent zulegten.

In den beiden vergangenen Jahren sind die Attacken mit Verschlüsselungstrojanern allerdings mit voller Wucht zurückgekehrt. Mounir Hahad, Leiter der Juniper Threat Labs bei Juniper Networks, sieht in den Unwägbarkeiten der Preisgestaltung bei Kryptowährungen einen Grund. Viele Cryptojacker benutzten die Computer ihrer Opfer für das Mining der Open-Source-Währung Monero, und als diese zunehmend verfiel, kehrten sie zurück zur klassischen Lösegeldforderung.

Da die Angreifer die Rechner vieler Opfer bereits mit Trojaner-Downloadern kompromittiert hatten, war es für sie einfach, zum richtigen Zeitpunkt nachzuladen und einen Ransomware-Angriff zu starten. In der jüngsten Ransomware-Welle konzentrieren sich die Angreifer nicht mehr auf die Verschlüsselung von Endgeräten, sondern auf Produktionsserver mit geschäftskritischen Daten. „Wird ein Laptop nach dem Zufallsprinzip befallen, hat das für Unternehmen meistens keine gravierenden Auswirkungen“, so Hahad. „Wenn die Angreifer aber die Server in die Finger bekommen, die das Tagesgeschäft antreiben, ist die höchste Alarmstufe erreicht.“

Solche Angriffe verlangen Raffinesse. Es geht darum, gut geschützte Systeme zu infiltrieren und Malware zu installieren. Laut Hahad sind bei solchen Angriffen die Täter oft auch direkt im Unternehmen aktiv, schnüffeln im Netzwerk herum, verschieben Dateien, verändern Zugangsprivilegien und verschaffen einem fremden „Admin“ Zugangsberechtigung, damit er von außen auf Rechner zugreifen kann.

Heute ist eine Reihe von Ransomware-Familien mit teils divergierenden Angriffszielen und -methoden bekannt. Wir stellen Ihnen fünf der derzeit bösartigsten Cryptolocker vor.

1. SamSam - Remote Desktop Ransomware

Angriffe mit dem Verschlüsselungstrojaner SamSam kamen Ende 2015 auf, nahmen in den nächsten Jahren mächtig Fahrt auf und betrafen unter anderem das Verkehrsministerium von Colorado, die Stadt Atlanta und zahlreiche Gesundheitseinrichtungen.

In der Regel gelangt Ransomware über bösartige Download-Programme auf Rechner. Sie werden über Spam-E-Mail verteilt oder über Drive-by-Downloads, bei denen Anwender Schadsoftware unbeabsichtigt über eine präparierte Website laden. Solche Downloader laden anschließend Malware herunter, die den Verschlüsselungsvorgang startet. Die Angreifer, die sich hinter SamSam verbergen, gehen anders vor, wie der US-Sicherheitsanbieter Digicert beschreibt. Sie setzen Tools ein, um Server via Remote-Desktop-Verbindungen auf fehlende Patches zu analysieren. Über die so gefundenen Sicherheitslücken verschaffen sich die Angreifer Zugriff auf den Server, sammeln Zugangsdaten ein und installieren Ransomware, um Dateien zu verschlüsseln, für die sie dann Lösegeld verlangen.

Die überwältigende Mehrheit der Angriffe mit SamSam zielte auf Institutionen innerhalb der USA ab. Ende 2018 klagte das US-Justizministerium zwei Iraner an, die angeblich hinter solchen Angriffen steckten und einen Schaden in Höhe von über 30 Millionen Dollar verursacht haben sollen. Es ist jedoch unklar, welche Summen wirklich gezahlt wurden, da bei weitem nicht alle Unternehmen publik machen, wenn sie erfolgreich erpresst wurden.

2. Ryuk - Cryptolocker-Exot

Ryuk ist eine nicht so häufig auftretende Ransomware-Variante, die 2018 und 2019 erste Auswirkungen zeigte. Als Opfer wurden überwiegend Unternehmen ausgewählt, die sich Systemausfälle absolut nicht leisten können: Tageszeitungen etwa oder Energieversorger. Betroffen war beispielsweise ein Wasserversorgungsunternehmen in North Carolina, das mit den Folgen des Hurrikans „Florence“ zu kämpfen hatte. Auch die „Los Angeles Times“ hatte unter Ryuk zu leiden und veröffentlichte sogar einen detaillierten Bericht darüber.

Ein Angriff aus der Nähe:

Das Lukaskrankenhaus in Neuss fiel 2016 einem Ransomware-Angriff zum Opfer. Geschäftsführer Nicolas Krämer sprach mit der COMPUTERWOCHE offen über den Vorfall und seine Folgen.

www.cowo.de/a/3547811

Das zu Cisco gehörende IT-Sicherheitsunternehmen Duo Security beobachtete, dass Ryuk über eine Kette verschiedener Malware-Produkte in die Unternehmen gelangt. Der Angriff beginnt mit einer Infektion durch die Malware Emotet, die über eine Phishing-E-Mail mit infiziertem Anhang ausgebracht wird. Sie spioniert den Rechner aus und lädt eine zweite Schadsoftware namens TrickBot nach, mit der unter anderem Kontozugangsdaten abgeschöpft werden. Im dritten Schritt wird dann Ryuk installiert, die eigentliche Ransomware, die als wichtig erkannte Dateien verschlüsselt und Sicherungskopien löscht, um die Wiederherstellung zu erschweren.

Eine üble Eigenschaft von Ryuk besteht darin, dass die Schadsoftware die Systemwiederherstellung von Windows-Rechnern deaktivieren kann, wodurch es besonders schwierig wird, verschlüsselte Daten zu retten, ohne dafür an die Erpresser zu zahlen. Die Lösegeldforderungen in den bekannten Infektionsfällen fielen überdurchschnittlich hoch aus.

Experten vermuten, dass der Ryuk-Quellcode von der 2017 entdeckten Ransomware Hermes abgeleitet wurde, die der berüchtigten APT Lazarus Group aus Nordkorea zugeordnet wird. Mit Hermes wurde unter anderem die Far Eastern International Bank in Taiwan erpresst. All das muss aber nicht bedeuten, dass die Ryuk-Angriffe von Nordkorea ausgingen. McAfee etwa geht davon aus, dass der Ryuk-Code von Hackern aus dem russischsprachigen Raum gekauft und verbreitet wurde, zumal die Lösegeldforderung auf Computern, deren Sprache auf Russisch, Weißrussisch oder Ukrainisch eingestellt ist, nicht ausgeführt werden kann.

3. PureLocker - Ransomware-as-a-Service

PureLocker ist eine neuere, in PureBasic geschriebene Ransomware-Variante, die Cyberkriminelle offenbar als „Ransomware-as-a-Service“ mieten können. Im November 2019 beschrieben Intezer und das X-Force-IRIS-Team von IBM erstmals die Ransomware, die Produktionsserver in großen Unternehmen lahmlegt. Wie Engimasoft berichtet, haben die Anbieter den Preis für die Mietsoftware recht hoch angesetzt, sodass die Verbreitung nicht so schnell vorankommt wie theoretisch möglich.

PureLocker läuft auf Windows- und Linux-Rechnern und wird allem Anschein nach über die Backdoor-Malware „More_eggs“ eingeschmuggelt, derer sich einige berüchtigte Banden von Cyberkriminellen bedienen (Fin6, Cobalt Group). PureLocker wird also auf Maschinen installiert, die bereits kompromittiert und von Angreifern ausgespäht wurden. Der Trojaner führt eine Reihe von Prüfungen auf der Maschine durch und verschlüsselt ganz gezielt Daten - laut Enigmasoft aber nur dann, wenn bestimmte Kriterien erfüllt sind. Beispielsweise werden Sandbox-Umgebungen erkannt und gemieden.

4. Zeppelin - der intelligente Trojaner

Zeppelin ist eine neue Ransomware, die Anfang November 2019 entdeckt und offenbar von erfahrenen, hochqualifizierten Entwicklern geschrieben wurde. Angeblich ist Zeppelin ein Nachfahre der Ransomware-Familie Vega, doch Experten von Geekflare haben daran ihre Zweifel: Vega-Locker hätten sich gegen russische Unternehmen und Institutionen gerichtet, Zeppelin habe aber nur europäische und US-amerikanische Ziele im Visier und sei so programmiert, dass die Malware auf russischsprachigen Systemen nicht funktionsfähig sei.

Die Zeppelin-Malware richtete sich bislang vor allem gegen Technologieunternehmen sowie Institutionen aus dem Gesundheitswesen. Wie die Software auf die Systeme ihrer Opfer gelangt, ist noch nicht im Detail geklärt. Spekulationen besagen, dass die Ransomware über Remote-Desktop-Verbindungen verteilt wird.

Zeppelin prüft zunächst Details auf den befallenen Rechnern, setzt dann die Basisfunktionen außer Kraft und beginnt mit der Verschlüsselung der Daten auch in Datenbanken und Backup-Files. Laut Geekflare geht die Malware intelligent vor: Zeppelin erzeugt keine Extensions zu den jeweiligen Dateien und ändert keine Dateinamen. Betroffene werden aber eine Markierung mit dem Namen Zeppelin und einigen ungewöhnlichen Symbolen bemerken.

Der Algorithmus von Zeppelin entspricht dem des Vega-Trojaners: Beide generieren Schlüssel, und die Dateien sind erst wieder zugänglich, wenn Lösegeld bezahlt wurde. Dann wird ein Banner sichtbar: „Your files have been encrypted“. Die Unternehmen erhalten eine Nachricht, aus der nicht nur hervorgeht, wie die Ransomware funktioniert, es ist perfiderweise meist sogar eine E-Mail-Adresse angegeben, um Kontakt aufzunehmen. Außerdem wird angeboten, die eine oder andere Datei kostenlos zu entschlüsseln, weil die Kriminellen so nachweisen wollen, dass sie dazu auch wirklich imstande sind.

Wer sich vor Ransomware wie Zeppelin, aber auch vor anderen Verschlüsselungstrojanern schützen will, sollte regelmäßig Backups auf anderen, nicht verbundenen Systemen vornehmen, Remote-Desktop-Verbindungen meiden und seine Mitarbeiter nur vertrauenswürdige Online-Dienste nutzen lassen. Mehr-Faktor-Authentifizierung, regelmäßige Passwort-Wechsel und eine Schulung der Mitarbeiter hinsichtlich des Öffnens von E-Mail-Anhängen und Links sind ebenfalls ratsam.

5. Sodinokibi - Malware aus Leidenschaft

Sodinokibi, auch bekannt als REvil, tauchte erstmals im April 2019 auf. Der Trojaner ist offenbar ein Nachfahre einer anderen Malware-Familie namens GandCrab. Wie bei Zeppelin verhindert der Code eine Ausführung in Russland und angrenzenden Ländern sowie in Syrien. Es deutet also einiges daraufhin, dass der Ursprung in einer dieser Regionen liegt. Die Verbreitung erfolgt auf verschiedenen Wegen, darunter die Ausnutzung von bekannten Schwachstellen in Oracles WebLogic-Servern oder der Pulse Connect Secure VPN.

Auch bei Sodinokibi handelt es sich offenbar um ein Ransomware-as-a-Service-Angebot, mit einem ehrgeizigen Team von Cyberkriminellen dahinter. Die Malware war dafür verantwortlich, dass die IT-Systeme in 22 texanischen Kleinstädten im September 2019 lahmgelegt wurden. Noch bekannter wurde ein Angriff in der Silvesternacht 2019, als es gelang, die britische Devisengesellschaft Travelex anzugreifen, wodurch beispielsweise Wechselstuben an Flughäfen gezwungen wurden, auf Stift und Papier zurückzugreifen. Die Angreifer verlangten ein Lösegeld von sechs Millionen Dollar - ob es gezahlt wurde, ist nicht an die Öffentlichkeit gedrungen.

Die Urheber von Sodinokibi gelten als besonders gefährlich, weil sie nicht nur Geld für die Freigabe verschlüsselter Daten fordern, sondern auch damit drohen, vertrauliche Informationen und persönliche Daten im Web zu veröffentlichen beziehungsweise Dritten zum Kauf anzubieten. Die PSW Group weist darauf hin, dass Sodinokibi-Ransomware sich auch durch gefälschte Online-Bewerbungen verbreitet, und ruft Personalabteilungen zu erhöhter Wachsamkeit auf. Ein anderer Weg ist die Verbreitung als Fax-Ankündigung via E-Mail („Sie haben ein Fax, Absender HelloFax“).

Im vergangenen Jahr wurden weltweit 61 Millionen Ransomware-Angriffe erfolgreich blockiert. Das berichtet der IT-Sicherheitsanbieter Trend Micro in seinem neuen „Security Roundup Report“. Angriffsziel Nummer eins sei der Gesundheitssektor.

Zwar ging die Zahl der neuen Ransomware-Familien um 57 Prozent zurück, doch habe es 2019 mehrere Allianzen zwischen Ransomware-Gruppen gegeben, um gemeinsam die Angriffe zu professionalisieren.

Wer „Ransomware-as-a-Service“ mieten will, zahlt dafür derzeit zwischen 3.000 und 20.000 Dollar. Der Höchstbietende erhält den vollen Zugang zu den Server-Hosts sowie den virtuellen privaten Netzwerken (VPNs) des Opfer-Unternehmens.
Studie: https://w.idg.de/2Vmdg6s


Foto: Andrey_Popov/Shutterstock

Foto: JMiks/Shutterstock